Hord Tipton wird in einem eher knappen Stück auf GovInfoSecurity Bezugnahme auf die "Notwendigkeit, die Beschäftigten des Bundes Aufklärung häufiger als einmal im Jahr wegen der sich ständig verändernden Herausforderungen der IT-Sicherheit präsentiert". rechten auf Hord! Ich weiß, ich zitiere einen kleinen Auszug aus einem kurzen Stück über eine Pressemitteilung Gespräch, aber es gibt noch viel mehr zu, als Hord Erklärung bedeutet. Ich hoffe, Sie verzeihen mir eine kurze, aber leidenschaftliche Rant ...

1. Es ist nicht nur Bundes-Mitarbeiter, die mehr als einmal im Jahr Ausbildung. Das gleiche gilt für alle, auch Mitarbeiter (Mitarbeiter, Führungskräfte, IT-Profis, temps, Auftragnehmer, Berater, Wirtschaftsprüfer ...), Studenten, Rentner und andere gewöhnliche Mitglieder der Öffentlichkeit. Und ja, auch CISSPs. Ein Mal im Jahr Training fällt kurzen Weg von dem, was jeder rationalen berufliche würde ständige berufliche Bildung.

2. Was ist die "Aufklärung" anyway? Nach meiner Erfahrung ist es Doppelzüngigkeit Management für einen Vortrag an der Truppen - eine Sendung, eine Predigt vielleicht, aber fast immer langweilig, langweilig und schlechter als die, ärgerlich für alle Beteiligten. Management lernen Wasserhahn an der Belegschaft, was sie zu tun und zu lassen. Sie legt die Gesellschaftsrecht, in der Regel mit impliziten oder expliziten Bedrohungen Thrash die Botschaft. Solche Sitzungen einige Zeit in Anspruch nehmen von worklives beschäftigt, und sind an unter Duldung (nicht, weil das Publikum tatsächlich gehen wollen und an neue Sachen lernen, sondern weil sie sich gesagt, in keinem klar, dass sie "einfach zu gehen"). eingebildet oder naiv Manager kreuzen Sie das Kästchen, dass die Einhaltung der sagt: "das Bewusstsein für die Gefahrenabwehr - Fertig", und fahren Sie auf "wichtigere Dinge". In der Realität , wovon ich spreche, ist weder das Bewusstsein noch Ausbildung. Es ist ein Amateur-Versuch Gehirnwäsche. Es zeigt einen erstaunlichen Mangel an Kreativität und das Verständnis der menschlichen Psychologie. Die einzige Motivation erreicht ist es, die Mitarbeiter (und ich wette, einige Manager ) Mittel und Wege finden, um sich künftigen Sitzungen.

3. Es in der Tat präsentieren sich ständig verändernden Herausforderungen, aber auch nicht die Organisation, ihr Unternehmen, die kommerzielle und regulatorische Umfeld, die Menschen, die Einhaltung der Verpflichtungen, die Folgen des Scheiterns, die Hacker, die Malware, die Verbrecher, die Wettbewerber , die Peers, die Partner ... Oh, und die Art und Weise, es ist nicht nur eine Frage der IT-Sicherheit. Informationssicherheit nimmt die offensichtliche Dinge wie indiskreten Gesprächen und aus empfindlichen Papieren auf öffentlichen Verkehr, sondern mehr subtil es sich um den Schutz von Informationen Vermögenswerte, dh den Inhalt der Informationen, die Sinne, das Wissen, das Know-how und Erfahrung - das geht weit über die Daten oder IT.

Sicher durch die wir jetzt alle wissen jährlichen Sitzungen Bewusstsein einfach nicht funktioniert. Es ist wirklich nicht schwer zu POKE riesige Löcher in den Begriff, sondern warum diese lächerlich "jährlichen Bewusstsein", was sich weigern zu legen und sterben? Ich bezweifle, alle CISSP würde behaupten, dass die Mitarbeiter zu einem Aussetzen " Bewusstsein Training "(was immer das auch sein mag) wird, um etwas von Vorteil Vergangenheit in den ersten paar Wochen, Tage, Stunden oder Minuten, geschweige denn bis zum Beginn des nächsten Jahres der Sitzung. Würden Sie ermöglichen es, um ein Auto auf der Grundlage eines "Fahren Bewusstsein Training" einmal im Jahr? Wären Sie froh, don die Gesichtsmaske und Ihre wertvolle persönliche Vermögen in die Hände eines Chirurgen, der hat eine "Operation Bewusstsein Training" fast vor einem Jahr? Es ist völlig Nüsse, doch immer wieder wie ein Zombie gefürchtete zurück aus dem Grab, um uns zu verfolgen.

Was mich am meisten, dass die bloße Wiederholung des Satzes (die ich zu schätzen, ironisch, ist genau das, was ich hiermit getan habe) "das Bewusstsein für die Gefahrenabwehr jährlichen Schulungen" fördert den Mythos, dass das, was durch das Bewusstsein und / oder Sicherheit, die sich der Ausbildung sind in der Tat ganz unterschiedliche Ideen. Schlimmer noch, da wir alle wissen , dass diese jährlichen Tagungen sind wertlos und unausstehlich Verschwendung von Zeit, es bedeutet, dass sowohl das Bewusstsein für die Gefahrenabwehr und Sicherheit Ausbildung sind auch wertlos und unausstehlich. Doh! Das ist ein klassisches Beispiel für das Kind mit dem Bade aus.

Betrachten Sie für eine Sekunde die moderne Flugzeuge und ihre Piloten. Das Cockpit ist gefüllt mit den wunderbarsten technischen wizzardry, entworfen, um Fliegen als sicher, kostengünstig und in der Regel angenehm wie möglich für alle Beteiligten, ein großer Teil von ihnen entwickelt werden soll, der Pilot die Arbeit einfacher und leichter als je zuvor ... Doch wir lassen Sie nicht nur alle sitzen in der warmen Sitz und fliegen uns in Barbados. Piloten verpflichten intensive Schulungen auf dem Boden, bevor auch die in den Himmel, und dann müssen die Uhr so viele Stunden fliegen, bevor sie die Rechte zu einem qualifizierten Piloten - und ja es ist ein Privileg, dass trägt eine schwere Verantwortung. Sie haben weitere on-the-job-Training und Flight Simulator-Übungen zu ergänzen, und regelmäßige Bewertungen, um sie auf dem neuesten Stand mit den neuesten Technologien, Flight Rules und so weiter, während ihrer gesamten Karriere. Sie treffen sich und mit anderen Piloten, die ein Interesse an der neuen Risiken und Chancen in der Luftfahrt. Sie entwickeln eine sehr persönliche Leidenschaft und Liebe für das, was sie tun. Sie Get it.

OK, jetzt wechseln Szenen auf der durchschnittlichen Unternehmens-"End User" (sicherlich ein Begriff abwertend, sondern ganz in diesem Zusammenhang apt) - weitgehend untrainierte, fast immer noch uneingeschränkt und saß in den Hot Seat Spiel mit Unternehmens-und persönlichen Daten Vermögenswerte mit kaum ein Gedanke, um deren Schutz oder Sicherheit. Der PC ist nur ein Werkzeug, um ihn, das gehört zu den Bösen, das das macht ihn für ein Leben. Sind wir überrascht sie nicht bekommen, es auf allen, auch direkt nach einer diese schrecklichen "jährlichen Schulungen Bewusstsein"?

Recht, Szenen-Schalter wieder auf die klassische Geek Hacker, alle Tattoos und Piercings und schwarzen Hoody - selbst ausgebildeten, kompetenten, engagierten und leidenschaftlichen ja intensiv über das, was er tut, mit einer tiefen Faszination und Respekt für die Technologie. Seinem PC ist eine Kunst ist ein Ding der Freude, einen Altar auch. Er lebt ein paralleles Universum bis hin zum Endverbraucher. Bei der End-Benutzer-Mann klopft an die Arbeit 5pm und latscht dejectedly Hause, das letzte, was er machen will, ist "sich vor dem blutigen PC die ganze Nacht ", in der Erwägung, dass das ist genau das, was geek-Hacker genießt die meisten. Sobald die Bytes Strecke, die Endorphine freigesetzt werden und, bevor er weiß, es ist morgens und der Zeit, dass wir bereit für die Arbeit.

In Computer-Sicherheit unter Bedingungen, es ist eine ernst unfairen Kampf. In der blauen Ecke, Endbenutzer-Mann will nur seinen Job zu tun und haben ein einfaches Leben. In der roten Ecke, Geek Hacker will seine eigenen b0x, und verfügt über die Mittel, Know-how und die Motivation, um es (und in diesen Tagen, jemand will ihm schwere Geld zu tun, es für ihn). Zwischenzeit, die arme, alte Security Manager tut sein Bestes, um bis Ende Gee-user-Mann aus dem Abseits, aber weiß es nicht wird eine hübsche Endung.

Nun vielleicht habe ich ernsthaft über-gedehnt, dass die Analogie und der Parodie zu weit, aber was ich wirklich bin, ist, dass die End-Benutzer-Mann - dringend benötigt wirksame Informationen das Bewusstsein und die Ausbildung zu:

• Informieren Sie ihm über die Sicherheitsrisiken alle um ihn herum, was er kann sich auf;
• Zeigen ihm, wie zu erkennen und zu bekämpfen, diese Risiken in Pragmatisch kann er tatsächlich nutzen;
• Geben Sie ihm die Fähigkeiten und Werkzeuge zu tun Sachen sicher, und das Gefühl, Dinge zu berichten, dass es offensichtlich nicht richtig;
• Motivieren, um ihn ein Interesse am Schutz der Gesellschaft Vermögenswerte und Informationen seiner eigenen;
• Erinnern ihn an seine Verpflichtungen, was bedeutet, dass die Rechenschaftspflicht und Verantwortung gegenüber verhält sich sicher;
• Licht, Funken der Leidenschaft, das Interesse und das Gefühl der Kontrolle über sein eigenes Schicksal, das es ihm erlauben, den Kampf auf der anderen Ecke. Bis es sei denn, wir bekommen zu diesem Zeitpunkt, constently und Wiederholgenauigkeit, "Aufklärung" ist zum Scheitern verurteilt. Wir werden nie eine Kultur der Sicherheit durch Schreien sie Arbeitnehmer earholes einmal im Jahr.

Das ist es, sich entspannen, schimpfen über. Jetzt sind Sie dran. Was du denken?




Mehr ...